各位老铁们，大家好，今天由我来为大家分享LDAP构建统一认证服务，以及的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

英文名

中文名

杰出的名字

尊贵的名字

表示条目在目录树中从根开始的绝对路径，是条目的唯一标识符。

直流

域名

欧

组织单位

最多可以有四级，每级最多32个字符，并且可以是中文

通用名

用户名

LDAP的构建和使用

1. 安装ldap服务端及工具集

slapd是服务器程序，ldap-utils是工具集（ladpmodify、ldapadd等）

apt 安装slapd ldap-utils

2. 重设密码和DN等信息

dpkg-重新配置slapd

3. 配置支持memberOf模块

由于有些应用需要memberOf支持，所以我们需要在开头添加这个模块，以便后面使用的时候可以直接使用。本节包含参考链接。

首先，您需要创建三个新文件。您可以创建一个新目录，即memberof_config.ldif、refint1.ldif 和refint2.ldif。特别注意的是，在执行此操作之前，您需要获取几个参数。

查询ldap配置db文件。 ldapsearch -Q -LLL -Y 外部-H ldapi:///-b cn=config dn | grep db 查询ldap 模块路径。查找/usr/-name ldap

新建memberof_config.ldif，注意将olcDatabase和olcModulePath修改为上面查询的结果。

# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass333 60 olcConfigobjectClass3336 0 olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling:ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD : memberOfnew refint1 .ldif。

# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint 创建refint2.ldif。您还需要注意修改olcDatabase 以匹配上述查询的db 结果。

# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager Owner 运行以下命令来配置模块成员。

ldapadd -Q -Y EXTERNAL -H ldapi:///-f memberof_config.ldif 运行以下命令加载并配置refint 模块。

ldapmodify -Q -Y EXTERNAL -H ldapi:///-f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:///-f refint2.ldif

4. 测试模块是否添加成功（生产环境不需要执行）

首先添加两个节点来存储用户和用户组。创建一个新的配置文件add_nodes.ldif。注意将dn的值修改为你自己的。

# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass:organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass:organizationalUnitou:Groups执行以下命令使配置生效。注意dc被修改，输入密码后执行成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif 添加用户，首先设置用户密码。

slappasswd -h {SHA} -s my_secret_password 结果如下：

{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=新建配置文件add_user.ldif如下，添加用户，特别注意修改你的dn。

# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail3336 john.doe @example.comobjectClass: topobjectClass: posixAccountobjectClass: ShadowAccountobjectClass: inetOrgPersonobjectClass:organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: { SHA }M6XDJwA47cNw9gm5kXV1uTQuMoY=执行以下命令添加用户。您需要将dc和cn修改为您的管理员帐户。默认情况下，你只需要修改dc，然后输入你的管理员密码即可。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif新建一个配置文件add_group.ldif，添加用户组，特别注意修改你的dn和member。

# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn执行以下命令添加用户组，这也需要待修改。 dc 和cn。输入密码后，添加成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif 接下来查询用户是否配置了memberof模块。

ldapsearch -x -LLL -H ldap:///-b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof

5. 安装phpldapadmin

phpldapadmin 可用于管理ldap。执行以下命令安装软件。

此时访问http://ip/phpldapadmin/即可访问apt install phpldapadmin。我们需要修改配置文件。

vim /etc/phpldapadmin/config.php 注意以下设置。第一句表示不会允许匿名用户登录，第二句只会允许管理员登录，第三句会修改登录页面默认填写的用户名，第四句会让phpldapadmin识别默认dn。

$servers-setValue(‘login’,’anon_bind’,false);$servers-setValue(‘login’,’allowed_dns’,array(‘cn=admin,dc=zhushurui,dc=cn’));$servers- setValue(‘login’,’bind_id’,’cn=admin,dc=zhushurui,dc=cn’);$servers-setValue(‘服务器’,’base’,array(‘dc=zhushurui,dc=cn’) ）；